Cette infection est très bien pensée et pose de sérieux problèmes aux éditeurs de sécurité actuellement.
Elle utilise deux modes de propagation :
- Les sites WEB piégés via des iframes (voir Les Exploits sur les sites WEB piégés)
- Des emails de SPAM infectieux. Attention ce ne sont pas les emails avec des pièges jointes.
Si vous avez entendu parler des infections Blaster et Sasser dans le passé, c'est qu'elles ont su faire parler d'elles par leur rapidité d'infection.
Zhelatin/Storm Worm est une infection discrète qui agit dans l'ombre et bien plus difficile à tracer.
Pour la petite histoire, le nom Storm Worm vient du fait que la première campagne de mail infectieux portait sur la tempête qui a sévit en Europe en Janvier 2008, d'où le nom Storm Worm (tempête en anglais).
Infection par mail : Les ecard Zhelatin/Storm Worm
Plusieurs sujets sont éparpillés sur le forum concernant des mails de SPAM qui via du social engineering, tentent de faire télécharger aux internautes des fichiers infectieux.
Ceci confirme bien la tendance que les Vers de messageries ne sont plus vecteur 1er des infections
Le principe est extrêmement simple, le mail utilise le social engineering en proposant divers liens sous divers prétextes, l'internaute clic sur le lien et atterit sur un site WEB.
Soit le site WEB contient un exploit et infecte le PC de l'internaute à son insu.
Soit ce dernier fait télécharger un fichier, si l'internaute l'exécute l'infection s'installe.
Exemple concret, une campagne de fausse eCard pour la Saint Valentin.
Vous recevez un mail disant que vous avez reçu une eCard, vous cliquez sur le lien et atterissait sur une fausse page d'eCard ou un fichier .exe vous est proposé en téléchargement, vous l'exécutez, c'est l'infection.
Zhelatin/Storm Worm utilise beaucoup les évènements du calendrier pour leurs campagnes d'eCard, à tel point, qu'il est très facile de prévoir à l'avance quand une nouvelle campagne de SPAM Zhelatin/Storm Worm va avoir lieu.
Par exemple, des eCard pour Noël, Saint Valentin etc.
Néanmoins, les campagnes ont parfois d'autres objets : faux programmes de P2P, Spam pour des jeux etc.
Il est important de comprendre que :
- Le mail que vous recevez n'est pas infecté en soi et ne contient pas de pièce jointe, le scan par email de l'antivirus est donc inutile.
- C'est le fichier ou le site WEB qui est donné en lien qui est dangereux
Cette méthode à un double avantage, elle permet aux auteurs de malwares de mettre à jour les fichiers infectieux proposés en téléchargement, par exemple, via des méthodes automatiques (mise à jour toutes les 10 minutes, 15 minutes) etc.
Ceci peut donc poser quelques problèmes aux antivirus pour détecter toutes les variantes.
Encore une fois, la réactivité des antivirus est mise à l'épreuve.
Voici une liste non exhaustive des campagnes de mail infectieux Zhelatin/Storm Worm :
Cela a commencé en janvier où des mails profitant de la tempête qui a sévi en Europe ont commencé à voir le jour.
S'en est suivi régulièrement de nouvelles variantes :
- En Janvier, mail sur la tempête : viewtopic.php?f=12&t=2385&p=14453&hilit=storm#p14453
- En Juin, on a eu les spams pour les adresses .hk : http://forum.malekal.com/ftopic3682.php
- Le 4 Juillet (fête nationale américaine) fausses Ecard : viewtopic.php?f=12&t=3903&p=26145&hilit=Ecard#p26145
puis un faux patch de sécurité pour éradiquer une infection : viewtopic.php?f=12&t=3682&p=26626&hilit=patch#p26626 - Fin juillet des économiseurs d'écran piégés : viewtopic.php?f=12&t=4166&p=27905&hilit=storm#p27905
puis des jeux flashs piégés avec fungame.zip : viewtopic.php?f=12&t=4196&p=28122&hilit=storm#p28122 - Début Aout : Célébrités nues : viewtopic.php?f=12&t=4280&p=28737&hilit=storm#p28737
- Mi Aoùt : Spam avec des game.zip, isit.exe/LGame.zip --> Trojan-Downloader.Win32.Agent.brk
- Spam msdataaccess.exe : viewtopic.php?f=12&t=4546&p=30734&hilit=storm#p30734
- 21 août : Changement de stratégie, faux mail d'inscription au service MP3 World : viewtopic.php?f=12&t=4575&p=31061&hilit=storm#p31061
- Septembre 2007 : spam avec des liens vers des sites web dit de jeux contenant des fichiers .exe infectieux, voir : http://www.f-secure.com/weblog/archives/00001277.html
- Octobre 2007 : Spam Super Laugh, site avec des images "mignones" : viewtopic.php?f=12&t=5518
- 17 Octobres 2007 : Spam pour Krackin , un faux client P2P : viewtopic.php?f=12&t=5595
- Fin Octobre 2007 : C'est Halloween ! SPAM : Halloween Day : viewtopic.php?f=12&t=5882
- Début Novembre 2007 : Spam pour Game.zip/KeyLogger.zip et Dancer.exe
voir : http://www.cisrt.org/enblog/read.php?190 & http://www.cisrt.org/enblog/read.php?192 - Fin Décembre 2007 : Spam pour Mrs Santa Claus avec des images de mère noël "peu habillée" : http://www.secuser.com/alertes/2007/sto ... atinpd.htm
- Noel Décembre 2007 :
http://www.prevx.com/blog/72/Storm-worm ... stmas.html
http://www.prevx.com/blog/74/Storm-Worm ... round.html - 15 Janvier - Storm Saint Valentin : http://asert.arbornetworks.com/2008/01/ ... day-theme/
- 12 février - : Autre carte pour la St Valentin Première fausse ecars Saint Valentin
- 4 mars : Ecard Spam
- 31 mars : Poisson d'Avril
- 3 juin : Fausses eCard d'amour
- 19 Juin : Fausses vidéos sur le tremblement de terre en Chine
- 01 juillet : fausses ecard d'amour - déjà exploité dans le passé.
- 4 Juillet : Mailling sur la fête de l'indépendance Américaine : http://www.bluetack.co.uk/forums/index. ... id=87917&#
- 9 Juillet : Fausses rumeurs envahissement de l'Iran par les USA.... : http://www.bluetack.co.uk/forums/index. ... opic=18151
- 22 juillet : Remplacement du dollar par l'Amero : http://www.bluetack.co.uk/forums/index. ... opic=18151
- 28 Juillet : FBI vs Facebook : http://www.bluetack.co.uk/forums/index. ... entry88434
- 05 Aout : Retour aux Ecards : http://www.bluetack.co.uk/forums/index. ... entry88577
Site WEB piégés
NOTE : certains éléments sont repris de cette excellente page : http://marc-blanchard.com/blog/index.ph ... orm-botnet
Je ne saurais trop vous conseiller de prendre le temps de lire cette page.[/b]
L'infection Zhelatin/Storm ne se contente pas du SPAM par mail.
Zhelatin/Storm se propage aussi via des sites WEB piégés qui infectent des PC vulnérables lors des visites (voir la page Les Exploits sur les sites WEB piégés).
En général, les auteurs de malwares hackent la page d'index du site WEB pour rediriger les visiteurs vers l'infection.
Cela peut vous donner un autre d'idée des dégâts, si le site WEB en question compte plusieurs centaines de milliers de visiteurs par heure.
A noter que si certains sites WEB avec certains thèmes sont plus dangereux (pornographie, cracks), le fait que l'infection se propage via des sites WEB hackés peut donc entraîner l'infection d'internautes qui ne surfent pas sur certains sites dits "sensibles".
En outre, les auteurs de malwares créés de faux blogs, sites et autres avec des liens infectieux.
Ces blogs suivent l'actualité, afin que si un internaute effectue une recherche sur un évènement récent, ils tombent sur ces faux blogs et cliquent sur le lien infectieux pour infecter son PC.
Ces méthodes sont assez connus maintenant puisque par exemple, les auteurs des infections Zlob créés de faux forums/blogs pornographiques qui proposent le téléchargement des faux codecs à l'origine de l'infection.
Encore une fois, cette méthode permet de modifier de manière automatique et très régulièrement l'infection.
En outre, tous les sites WEB hackés ne pointent pas vers la même variante, et chaque visite d'une même page infectée peut donner une variante différente, tout ceci rend l'intégration de l'infection difficile par les antivirus et une nouvelle fois met à l'épreuve la réactivité des antivirus.
Une nouvelle génération de PC Zombis
Vous trouverez la définition de PC Zombis sur cette page : viewtopic.php?f=33&t=1020
Le réseau de PC Zombis contrôlé par le pirate se nomme : botnet.
En général, les PC Zombis se connectent sur un serveur (souvent IRC) afin d'être contrôlés par les pirates. Il y a donc deux manières de "libérer" le PC du contrôle du pirate, désinfecter le PC, empêcher la connexion au serveur de contrôle (soit via des restrictions réseaux, soit en faisant tomber le serveur central). L'avantage de faire tomber le serveur central est que cela fait tomber le contrôle du botnet instantanément aux pirates sans désinfecter les machines unes par unes.
Zhelatin/Storm Worm utilise une autre méthode, les PC Zombis ne se connectent pas à un serveur central mais se connectent les uns aux autres (principe du P2P), dès lors, il est impossible de faire tomber le botnet en faisant tomber le serveur central, puisqu'il n'y en a pas.
De plus, Zhelatin/Storm Worm cherche la discrétion afin de ne pas éveiller les soupçons :
- Zhelatin/Storm Worm utilise des technologies de rootkits afin de ne pas éveiller de soupçon chez l'utilisateur. Une fois installé, si l'antivirus est à jour pour détecter la nouvelle variante, il peut donc passer à côté.
- En général, lorsque vous êtes infectés le PC est ralenti. Le PC est ralenti car l'infection utilise toutes les ressources sytèmes (notition expliquée dans la page Comprendre pourquoi votre ordinateur est ralenti). Zhelatin/Storm Worm se contente d'utiliser seulement 40% des ressources systèmes afin de ne pas ralentir l'ordinateur, l'utilisateur de l'ordinateur ne verra donc aucun changement et ne soupçonnera pas que son PC est infecté.
Le botnet Zhelatin/Storm Worm est estimé en millions de machines pour effectuer les opérations pour lesquelles sont généralement destinées les machines Zombis (SPAM, attaque DoS etc.) afin de rémunérer les auteurs.
Cela donne aussi une formidable puissance de calcul aux pirates.. puisque :
Le plus redoutable est la puissance dégagée par ce type de botnet. Selon Marc Blanchard, 50 000 PC zombies équivalent à 10 % de la puissance d'un Cray XT, l'un des supercalculateur les plus puissants du monde après Blue Gene d'IBM. "Un million de PC zombie revient à 2 fois la puissance d'un Cray XT."
source : http://www.vnunet.fr/fr/news/2007/11/22 ... sky?page=1
Quelques liens sur le sujet :
- Blog de Marc-Blanchard A LIRE!! : http://marc-blanchard.com/blog/index.ph ... orm-botnet
- news vnunet.fr sur l'infection Zhelatin/Storm Worm : http://www.vnunet.fr/fr/news/2007/11/22 ... sky?page=1
- Fonctionnement de l'infection BISS (anglais) : http://www.bluetack.co.uk/forums/index. ... opic=18151
- Zhelatin/Storm Worm sur Wikipedia (anglais) : http://en.wikipedia.org/wiki/Storm_botnet
